企業需要專職獨立的資安部門

2017 / 02 / 10

編輯部

很多人聽到資訊安全，馬上直覺反應這個議題很重要，然後以為就是在做電腦病毒防範之類的工作。但有參與過資訊安全工作的都知道，資安議題其實普遍存在企業各個資訊應用的環節之中。
例如在軟體開發上，最簡單就是要知道誰更新了程式版本。硬體架構上，則可能因為硬體容量不足而導致系統無法正常運作。而在無國界的網際網路中，我們無法得知所面對的敵人到底身在何方，所以網路更與資安息息相關；再加上異常事件通報、災害復原演練等，這些都與資安工作有所關連。
甚至以較嚴格的角度來看，所有IT相關的作業都應有一定的安全考量；但相對的，也可能會影響到組織日常流程的運作。如果又剛好發生一些重大的資訊安全事件，對於資訊安全的需求就會更加的提高。

資安工作需打破部門間的本位主義
當瞭解資訊安全的重要性後，接著討論的就是該由那一個單位負責？幾年前某企業曾發生過一個案例，為了配合新業務的上線，公司經過多方討論後決定直接向外購買軟體，然後再由程式開發部門進行客制化的修改，以符合新業務的需求。

但直到正式上線前的會議，負責主管把系統、網路的同仁全部召集起來，才知道系統的修補程式尚未更新，而如果要馬上進行更新則會一併影響到應用系統。同時還發現原先廠商在設計時，為瞭解決網路流量的問題，對外開放了整個區段的通訊埠，這些問題都直到在上線前才被注意到。

這時程式設計部門覺得要改程式已來不及，建議按照原先規劃的時間點上線。但系統部門及網路部門在安全與系統穩定的考量下，認為不應倉促上線，且在此同時還要背負著業務單位的壓力。最後是經過資訊安全部門的協調，先在預定的時程內上線，但同時也需要建立後續的補償性控制，且要求程式開發單位在期限內將程式修改完畢。

在這個例子中很明顯看見，程式開發部門、系統部門以及網路部門都有各自的考量。這些考量有些是基於專業的立場，有些則是現實面的考量，但卻忽略了彼此之間的關聯性，同時對於資訊安全的著墨，看起來還有很多需要加強的地方。由這個例子就可說明，在企業廣泛應用資訊科技的今天，組織內應該設有專責的資訊安全單位，以統合不同部門間的運作，為企業在資訊安全與營運效益中找到一個最佳的平衡點。

做為企業內部橫向溝通的橋樑
資訊安全單位需要負責的業務包含那些？在過去不論是程式開發部門、系統部門或是網路部門，這些單位的員工都需要相對深入的專業技能。但資訊安全部門卻不同，這個部門的人員不一定要專精某些特定領域，但卻需要接觸很多方面的專業知識，相對的所熟悉的深度也就不會那麼深。這也意謂負責資訊安全的人員需要瞭解軟體開發、軟體工程，也要懂網路架構、駭客攻擊手法，甚至對硬體的特性也得有所認識。從組織架構的角度來看，資安單位是一個橫向聯絡溝通的部門，也就是要將原有的資訊單位串聯起來，才能構築資訊的整體防護，但這也是資安部門目前面臨的重要挑戰。

在專業能力方面，除了過往的IT技術外，資訊安全單位對於新興科技的進步與利用，包括雲端、行動設備、大數據分析等，都需要涉獵相關的知識。除了這些議題，其他像物聯網、Fintech、Bank 3.0這種與產業面相關的知識與技能，也要有所接觸。也就是說，從底層作業系統的中大型主機與開放平台，到應用軟體的傳統Cobol和APP等，資安部門要對各項資訊技術都有所認識，才能做為資訊單位內部溝通的橋樑。另一方面，對於業務部門的需求也需要明瞭，以成為資訊部門與使用者單位間的協調管道；也正因如此，資安部門所負責的工作和以往在學校課程中所學往往有所出入，但這也是在談到企業風險管理中相當重要的一環，由此更加顯得這個部門的重要性。

常設獨立單位的必要
前面提到的是資安部門的專業技能，但這個單位在組織中需要如何安置？在國外有些組織會將資安部門放在企業安全部下，以全盤掌握企業所面臨的各項風險威脅。有些組織則是將資安部門獨立出來，做為總經理辦公室裡的幕僚單位，或是乾脆獨立成一個部門單獨運作。但不管是採用何種方式，和台灣企業最大不同的是，這個單位絕對是一個常設組織，而不是一個任務性的編組。

至於兩者間的差異，在於任務性的編組如果沒有適當的工作交接，很容易流於形式化或是累績經驗無法持續的傳承。另外就組織倫理的觀念來看，這個部門應該和資訊單位是處於平行的地位，而不是在資訊部門下所屬的某一個單位。

因為資安部門有一項很重要的工作是要進行日常資訊活動的監控，一旦發現了異常狀況反應出來，勢必對其他同單位人員的工作造成影響。如果資安是資訊部門的附屬單位，當彼此有利益衝突發生時，直屬的資訊部門主管有可能會特意忽略這些威脅警示；甚至是表面上敷衍配合，但到年終評定員工績效表現時給予負面價。從管理角度來看，報喜不報憂本來就是一種人性的弱點，如果礙於這些壓力而無法實際發揮資安部門的功效，這個部門反會成為人才高度折損的地方。

資訊科技使用越多的企業組織，愈應該考量設立一個專屬的資訊安全單位。而資安單位要能夠真正發揮功效，除了不能淪為虛應故事的裝飾部門外，更重要的是高階主管要能正視資安議題，發揮資安部門對企業風險控管的正面助益，才能展現專屬資訊安全單位的重要性與必要性。